get_queried_object(); $id = $cu->ID; ?>
Bjørn Erik Thon

Det nye personvernet

Denne kronikken sto på trykk i Dagens Næringsliv 29. desember 2018. 

20. juli i år trådte de nye personvernreglene i kraft. Dette gir oss en helt nye måte å tenke personvern på. Grunnen er ganske enkelt at personvernverdenen ser annerledes ut nå enn for bare noen få år siden. Alt er digitalisert, og alt kan deles, gjenbrukes, analyser og deles på nytt. Bruk av algoritmer og kunstig intelligens vil fase mennesker ut av stadig flere beslutning, det være seg innvilgelse av en lånesøknad, en trygdesøknad eller lengden på en fengselsstraff. Vi er helt i starten på den kunstige intelligensens tidsalder, men må være klar over hva vi egentlig gjør: Vi delegerer myndighet til å treffe viktige beslutninger til en maskin.

Riktig bruk av data

Det gamle personvernet handlet om konsesjoner fra Datatilsynet og minst mulig registrering og deling av data. Personvern var noe man puttet på helt på slutten når en virksomhet lansert en ny tjeneste, og det var gjerne noe som teknologer holdt på med. Dette er annerledes nå. Folk har en forventning om at dataene deres blir brukt. Selv om det fortsatt er viktige å minimalisere mengden registrerte data og begrense delingen, har det liten mening å snakke om ikke å registrere og dele data når vi gjør 3,5 millioner søk på Google og sender 1,8 millioner snapper hvert minutt. I stedefor ingen bruk av data, snakker vi nå om riktig bruk og riktig deling av data.

Personvern er et lederansvar

Det er et krav at personvern skal være med i utviklingsprosessen helt fra starten av. I prinsippet om innebygd personvern møtes virksomhetens ønske om å bruke data med virksomhetens plikt til å følge regelverket og den enkeltes forventning om at data blir brukt. Det er viktige å utvikle løsninger som skaper en vinn-vinn – situasjon. Vi ser at der er mulig å få til, men det krever vilje og forankring på høyeste nivå i ledelsen. Personvern hører ikke lenger hjemme i datarommene, men i styrerommene og på direktørens kontor.

I stedet for ingen bruk av data, snakker vi nå om riktig bruk og riktig deling av data.

Ekstra sentral er det å utrede konsekvensene for personvernet. La oss ta et eksempel. Nå utredes en ny helseanalyseplattform, som skal gi bedre og sikrere tilgang til helsedata. Disse dataene vil samles inn fra en lang rekke kilder, som for eksempel helseregistre, biobanker og helseundersøkelser. Dataene skal brukes til blant annet analyse, forskning og innovasjon, og ambisjonen er at analyseplattformen på sikt også skal innpodes kunstig intelligens, algoritmer og såkalt prediktive analyser.

Formålet er utvilsomt det beste, men hva med konsekvensene? Å legge konkrete fordeler med plattformen i den ene vektskålen, og ulempene i den andre, er en relativt enkel øvelse. Men etter det nye regelverket må utredningen gå dypere. Det må stilles spørsmål om hva en så stor mengde data samlet på ett sted, om fem millioner mennesker, betyr for våre rettigheter og frihet.

Man må stille en rekke grunnleggende spørsmål om en slik løsning som helseanalyseplattformen:

  • Krenker den retten til privatliv?
  • Utfordrer den kommunikasjonsvernet, ytringsfrihet og tankefrihet?
  • Utfordrer den forbudet mot diskriminering?

Økning i avvik

Vi har gjort oss noen erfaringer siden regelverket trådte i kraft. Særlig påfallende er den enorme økningen i antall avvik som meldes inn. I 2015 mottok vi 86 avviksmeldinger, før årets slutt vil antallet være opp mot 1300. Et høyt tall, men samtidig viser det også at bevisstheten om behandling av persondata er økende. Norske virksomheter har etablert systemer som kan fange opp feil, og vilje til å lære av dem. Det er for tidlig å gi noen uttømmende analyse av hva slags feil som begås, men foreløpige erfaringer viser at menneskelige feil og mangel på rutiner utgjør brorparten. Her vil vi kommer tilbake med mer presise analyser etter hvert.

I 2015 mottok vi 86 avviksmeldinger, før årets slutt var antallet opp mot 1300.

Vi mottar også flere klager fra forbrukere som mener sine personvernrettigheter krenket. Det viser at regelverket virker, og at folk bruker de nye rettighetene loven gir dem. Mer overraskende er det at vi så langt har mottatt svært få begjæringer om forhåndsdrøftelser, som er en forpliktelse til å drøfte behandlinger med høy risiko med Datatilsynet. Det igangsettes forskningsprosjekter, etableres registre, lanseres apper som behandler store mengder data og i mange norske virksomheter er opplysningene om kunden den virkelige motoren i driften. Det er vanskelig å tro at ikke en del av disse behandlingene burde vært forhåndsdrøftet med oss. Kanskje klarer norske virksomheter å redusere risikoen og iverksette tiltak som gjør forhåndsdrøftelser unødvendig? De foreløpige undersøkelsene vi har gjort gir imidlertid grunn til en viss bekymring.

Knut Kaspersen

Personvernlovgivningen er 40 år

Lørdag 9. juni er det 40 år siden personregisterloven ble vedtatt i Stortinget. Bakgrunnen for at denne loven kom, var at utviklingen av «databanker» i det offentlige skapte bekymring. Man så en utstrakt registering av enkeltmenneskers og gruppers adferd. I en...

les mer
Catharina Nes

Tre ting vi kan lære av Facebook-skandalen

Ny lov vil tvinge frem større åpenhet om hvordan våre data samles inn og brukes. (Artikkelen sto opprinnelig på trykk i Dagens Næringsliv 20. april 2018) Forrige uke satt en av verdens rikeste og mektigste menn skolerett i det amerikanske Senatet. Spørsmålet fra en av...

les mer
Tobias Judin

Facebook er i hardt vær – men er det noe nytt?

Cambridge Analytica-skandalen har åpnet øynene til mange. Facebook-brukere er usikre på om de kan stole på nettsamfunnet. Facebook på sin side bedyrer at dette var en tabbe som nå er reparert og at brukerne kan føle seg trygge i fremtiden. I tillegg slapp nettopp...

les mer
Tobias Judin

Hva vet de om deg?

Hvor mye lagrer fire helt vanlige, norske virksomheter om kundene sine? To testpersoner har brukt innsynsretten for å finne det ut. Jeg snakker med mange enkeltpersoner og virksomheter i løpet av et år. Noen trenger veiledning om loven, noen mener Datatilsynet ikke...

les mer
Catharina Nes

Autoritær Intelligens

Med tilgang til enorme datamengder - og få restriksjoner på hvordan disse kan utnyttes - tar Kina nå ledertrøyen i kappløpet om utviklingen av kunstig intelligens.  (artikkelen sto på trykk i Dagens Næringsliv 15. februar 2018) Kina har vokst frem som et gigantisk...

les mer
Gullik Gundersen

Vi trenger en ny IKT-sikkerhetsstrategi

Regjeringen la i juni 2017 frem stortingsmeldingen IKT-sikkerhet – Et felles ansvar. For å følge opp denne er det satt i gang et arbeid med en ny nasjonal strategi, med tilhørende handlingsplaner. Disse skal erstatte Nasjonal strategi for informasjonssikkerhet og...

les mer

Arkiv

Følg oss:

Ønsker du å motta e-post når nye innlegg postes på Personvernbloggen, kan du registrere din e-postadresse her.

E-postadressen blir lagret på vår server og kun brukt til dette formålet. Om du velger å slutte å følge oss, vil e-postadressen bli slettet fra vår server. Du samtykker til denne bruken av din e-postadresse ved å registrere den her.